Chinesische Hackergruppe schlägt weltweit zu

Einen neuen, schwer zu erkennenden Fernzugriffstrojaner namens PingPull hat das Sicherheitsteam Unit 42 von Palo Alto entdeckt. Der Trojaner wird von der APT-Gruppe (Advanced Persistent Threat) Gallium verwendet, die auch unter dem Namen Softcell bekannt ist. Die Gruppe hat sich einen Ruf erarbeitet, indem sie Cyberangriffe auf Telekommunikationsunternehmen in Südostasien, Europa und Afrika startete, die bis ins Jahr 2012 zurückreichen.

Bereits seit 2018 verfolgt der Sicherheitsanbieter Cybereason die Aktivitäten der Gruppe. Aufgrund der Geografie der Ziele, dem Fokus auf die TK-Branche und den technischen Fähigkeiten der Hacker, schlossen die Analysten, dass Gallium eine staatlich geförderte chinesische Gruppe ist, die ihre Malware zur Spionage einsetzt.

Im vergangenen Jahr hat Gallium seine Angriffe auch auf Finanzinstitute und Regierungsstellen ausgeweitet. Insgesamt hat die Gruppe Unternehmen in Afghanistan, Australien, Belgien, Kambodscha, Malaysia, Mosambik, den Philippinen, Russland und Vietnam attackiert. Zu den Aktivitäten gehören:

• Im Mai 2022 hat Gallium über 2.600 Verbindungsversuche bei 16 verschiedenen Regierungsbehörden und Regierungsstellen auf den Philippinen unternommen.

• Die Gruppe hat eine russische Bank angegriffen.

• Zwischen dem 20. April und dem 13. Juni haben Gallium-Mitglieder Regierungsstellen auf den Philippinen, in Malaysia und Mosambik angegriffen.

• Unit 42 beobachtet weiterhin Cyberattacken der Gruppe auf Internet- und Telekommunikationsanbieter.

Lesetipp: Chinesische Hacker spionieren russisches Militär aus

So verursacht der Trojaner Schaden

PingPull wurde in Visual C++ geschrieben und bietet Bedrohungsakteuren die Möglichkeit, beliebige Befehle auszuführen und mithilfe einer Reverse Shell auf einen kompromittierten Host zuzugreifen. Die Malware kann drei Protokolle für die Kommunikation mit ihrem Command and Control Server nutzen:

• ICMP (Internet Control Message Protocol)

• HTTP (HyperText Transfer Protocol Secure) beziehungsweise HTTPS (HyperText Transfer Protocol Secure)

• TCP (Transmission Control Protocol)

Besonders dank der Kommunikaiton über ICMP sei es Palo Alto zufolge für Betroffene schwer, den Trojaner zu entdecken, da nur wenige Unternehmen den ICMP-Verkehr in ihren Netzwerken überprüfen würden.

Unabhängig von der Variante ist PingPull in der Lage, sich selbst als Dienst zu installieren. Nun kann der Eindringling unter anderem Dateien lesen, schreiben, kopieren und löschen sowie Befehle über cmd.exe ausführen.

Schutz vor PingPull

In ihrem Blogbeitrag nennen die Sicherheitsforscher eine Reihe von Indicators of Compromise (IoCs), anhand derer Unternehmen erkennen können, ob sie von dem Trojaner betroffen sind.

Die Sicherheitsempfehlungen, die Cybereason 2019 in einem Blogbeitrag zum Schutz vor Softcell gab, sind auch heute noch relevant:

• Fügen Sie eine zusätzliche Sicherheitsebene für Ihre Webserver hinzu. Mit einer Web Application Firewall können Sie Angriffe auf Webserver verhindern, die mit dem Internet verbunden sind.

• Verbinden Sie nur die notwendigsten Systeme und Ports mit dem Internet. Stellen Sie sicher, dass alle Webserver und Webdienste, die verfügbar gemacht werden, gepatcht sind.

• Verwenden Sie ein EDR-Tool (Endpoint Detection and Response), um sich Transparenz über Ihre Infrastruktur zu verschaffen und sofort auf Anomalien reagieren zu können.